Právní předpis byl sestaven k datu 28.05.2018.
Zobrazené znění právního předpisu je účinné od 28.05.2018 do 31.10.2025.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx dne 21. xxxxxx 2018
x bezpečnostních xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx dat (xxxxxxxx x kybernetické xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx §28 xxxx. 2 xxxx. a) xx x) a x) xxxxxx č. 181/2014 Xx., x kybernetické xxxxxxxxxxx x x xxxxx souvisejících zákonů (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. x zákona x. 205/2017 Sb., (xxxx xxx "zákon"):
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx předpis Xxxxxxxx xxxx1) a xxx xxxxxxxxxx systém kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, významný xxxxxxxxxx xxxxxx, informační xxxxxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxx systém xxxx xxx xxxxxxxxxxxxxx komunikací, xxxxx využívá poskytovatel xxxxxxxxxxx xxxxxx, (xxxx xxx "xxxxxxxxxx x xxxxxxxxxxx xxxxxx") upravuje
a) xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) obsah x xxxxxx bezpečnostních xxxxxxxx,
x) xxxx, kategorie x hodnocení významnosti xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
d) xxxxxxxxxxx a xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxxxxxxxx oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
x) xxxx oznámení xxxxxxxxxxx údajů x xxxx xxxxx x
x) xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
§2
Xxxxxxxx xxxxx
Xxx účely xxxx vyhlášky xx xxxxxx
x) administrátorem osoba xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, údržbu x xxxxxxxxxx technického xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxx xxxx xxxxx, xxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx, (xxxx jen "xxxxxxx xxxxx") x není xxxxx jej xxxxxxx xxxxxx dalších xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx politikou xxxxxx xxxxx a xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx ochrany xxxxx,
x) hodnocením rizik xxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxx xxxx xxxxxxxx škodu,
f) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx nebo bezpečnosti xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx nebo xxxxxx, xxxxxx zpracovává nebo xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx a způsobí xxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xx přístupu k xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx ustavení, xxxxxxxx, provozování, monitorování, xxxxxxxxxxx, udržování x xxxxxxxxxx bezpečnosti xxxxxxxxx x dat,
k) xxxxxxxxxx xxxxxxx xxxxxx technické xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x programové xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx, xx kterých jsou xxxx systémy umístěny, xxxxxxx xxxxxxx xxxx xxx dopad xx xxxxxxxxxx x komunikační xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx orgán veřejné xxxx, xxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxx, které xxxx xxxxxxxx xxxxx, xxxx xxxxxxxxxx orgán xxxxxxx xxxxx,
x) významným xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxxxxxxx") x xxxxx, kdo s xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx xxxxxx, xxxxx je xxxxxxxx x xxxxxxxx bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, xxxxx xx xxxx může xxx xxxx na xxxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx místo aktiva xxxx xxxxx místo xxxxxxxxxxxxxx opatření, xxxxx xxxx být xxxxxxxx xxxxxx nebo xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém řízení xxxxxxxxxxx informací
Povinná xxxxx x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx s xxxxxxx xx xxxxxxxxx dotčených xxxxx x organizační xxxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xx xxxxxx určí xxxxxxxxxxx xxxxx x xxxxxx, xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) stanoví xxxx systému řízení xxxxxxxxxxx informací,
c) pro xxxxxxxxx rozsah xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx potřeb x hodnocení xxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) xxxxxxx x xxxxxxx bezpečnostní xxxxxxxx v oblasti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, cíle, xxxxxxxxxxxx potřeby, xxxxx x povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx, a xx xxxxxxx bezpečnostních xxxxxx x výsledků xxxxxxxxx rizik stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxx oblastech podle §30 x zavede xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx účinnosti xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx obsahuje xxxxxxxxx stavu xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxx §11 xxxx xxxxxxxx změny, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx dokumentaci xx základě zjištění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení účinnosti xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxx změnami x
x) xxxx provoz x xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxx xxxxx.
§4
Xxxxxx aktiv
(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx xxx identifikaci xxxxx,
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx aktiv xxxxxxx v xxxxxxx xxxxxxxx x příloze č. 1 x xxxx vyhlášce,
c) xxxxxxxxxxxx a xxxxxxx xxxxxx,
x) určí x xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx x xxxxxxx xxxxxxxx aktiva z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x xxxxxx je do xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx x),
x) xxxx x eviduje xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx důsledky xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) xx xxxxxxx hodnocení xxxxx xxxxxxxxx x xxxxxx xxxxxxxx ochrany nutná xxx xxxxxxxxxxx jednotlivých xxxxxx xxxxx,
x) stanoví xxxxxxxxx způsoby používání xxxxx x xxxxxxxx xxx xxxxxxxxxx x xxxxxx s ohledem xx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx elektronické xxxxxxx x xxxxxxx xxxxxxxxx xxxxx, a
j) xxxx xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx xxxx xxxxxxxxx technických xxxxxx xxx x xxxxxxx xx úroveň xxxxx v xxxxxxx x přílohou č. 4 k xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx důležitosti xxxxxxxxxx xxxxx je třeba xxxxxxxx alespoň
a) xxxxxx x důležitost xxxxxxxx xxxxx, xxxxxxxxxx kategorií xxxxxxxx xxxxx nebo xxxxxxxxxx tajemství,
b) xxxxxx xxxxxxxxx xxxxxxxx povinností xxxx xxxxxx závazků,
c) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx nebo xxxxxxxxxxxx xxxxx x xxxxx xxxxxxxx ztráty,
e) xxxxxx xx poskytování důležitých xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx činností,
g) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx ochranu xxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxx x xxxxxx osob,
i) dopady xx xxxxxxxxxxx xxxxxx x
x) dopady xx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx rizik x xxxxxxxxxx xx §4
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, včetně xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx xxxxx,
x) x xxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxx hrozby x xxxxxxxxxxxxx; xxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x při významných xxxxxxx,
x) xxx xxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x xxxxxxx možné xxxxxx xx xxxxxx; xxxx rizika xxxxxxx xxxxxxx x xxxxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) xxxxxxxx zprávu x xxxxxxxxx rizik,
f) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx hodnocení rizik xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx vyhláškou, xxxxx
1. xxxxxx xxxxxxxxxx, včetně xxxxxxxxxx,
2. byla xxxxxxxxxx, xxxxxx způsobu xxxxxx,
x) xxxxxxxx x xxxxxx xxxx zvládání xxxxx, xxxxx obsahuje xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx rizik, určení xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx xxxxxx, xxxxxx jejich xxxxxxxx, xxxxx xxxxx mezi xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxxxx xxxxx a x xxxxx xxxxxxxx xxxxx xxxxxxxx
1. významné xxxxx,
2. xxxxx xxxxxxx systému xxxxxx bezpečnosti informací,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. kybernetické xxxxxxxxxxxx incidenty, xxxxxx xxxxx xxxxxxxx, x
x) x xxxxxxx s xxxxxx xxxxxxxx rizik xxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxx osoba uvedená x §3 xxxx. x), d) x x) xxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxx x xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx alespoň xxxxxx xx xxx xxxx.
(3) Xxxxxx rizik xxxx být xxxxxxxxx x xxxxxx způsoby, xxx jak xx xxxxxxxxx x xxxxxxxx 1 xxxx. d), xxxxx xxxxxxx xxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxx vyšší úroveň xxxxxxx řízení xxxxx.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxxxx xxxxx x xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) zajistí xxxxxxxxx xxxxxxxxxxxx politiky x cílů xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 xxxxxxxxxxxx xx strategickým směřováním xxxxxxx xxxxx,
x) zajistí xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací xx xxxxxxx povinné xxxxx,
x) xxxxxxx xxxxxxxxxx zdrojů xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx informací,
d) xxxxxxxxx xxxxxxxxxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxx x xxxx požadavky xx xxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) vede xxxxxxxxxxx x rozvíjení xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx je při xxxxx rozvíjení,
g) xxxxxxxxx xxxxxxxx zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x oblastech jejich xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx pro určení xxxxxxxxxxxxxx x xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx byla zachována xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx prostředků x xxxxxxxxxx jejich rolí x plnění souvisejících xxxxx x
x) zajistí xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxx a xxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx složení xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx a bezpečnostní xxxx x jejich xxxxx x xxxxxxxxxx xxxxxxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) x x) xxxxxx xxxx xxxxx, xxxxx bude xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxx a
d) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona určí xxxx manažera xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Xxxxxxx bezpečnostní xxxx xxxxx xxxxxxxx 3 určí xxxxxxxxx xxxxxxxx x rozsahu x potřebám xxxxxxx xxxxxx bezpečnosti informací.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) a x) zákona xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx v xxxxxxxx 3 písm. x) x x).
(6) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx zastupitelnost xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Výbor xxx xxxxxx kybernetické xxxxxxxxxxx je xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx a odbornou xxxxxxxxxxxx pro xxxxxxx xxxxxx a xxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx x osobami xxxxxxxx xx xxxxxxxxxxxx xx řízení a xxxxxxxxxx xxxxxxxx xxxxxxxxx x kybernetickou bezpečností, xxxxx xxxxxx xxxx xxx alespoň jeden xxxxxxxx xxxxxxxxxxx vedení xxxx xxx xxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Povinná xxxxx u xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx přihlédne x xxxxxxxxxxx uvedeným x příloze č. 6 k této xxxxxxxx.
§7
Xxxxxxxxxxxx xxxx
(1) Manažer xxxxxxxxxxxx bezpečnosti
a) je xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, xxxxx xx xxx tuto činnost xxxxxxxxx a xxxxxxx xxxxxxxx způsobilost praxí x xxxxxxx kybernetické xxxxxxxxxxx xxxx x xxxxxxx bezpečnosti xxxxxxxxx
1. xx dobu xxxxxxx xxx let, xxxx
2. xx xxxx jednoho xxxx, xxxxx absolvovala xxxxxxx xx vysoké xxxxx,
x) odpovídá xx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx x
1. xxxxxxxxxx xxxxxxxxxxxxx x rozsahu xxxx xxxxxxxxxxxx a
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x
x) xxxxx xxx pověřen xxxxxxx rolí xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
(2) Xxxxxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxxxxx role xxxxxxxxx xx zajištění xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx informačního x xxxxxxxxxxxxx systému, přičemž xxxxxxx xxxx xxxx xxxx být pověřena xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x navrhováním xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxx xxxxxxx xxx xxx, xxxx
x) xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx na vysoké xxxxx.
(3) Xxxxxx xxxxxx xx bezpečnostní xxxx xxxxxxxxx xx zajištění xxxxxxx, xxxxxxx x xxxxxxxxxx xxxxxx.
(4) Auditor xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, která xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xxxx xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx xxxxxxx tří xxx, xxxx
2. xx xxxx xxxxxxx roku, xxxxx absolvovala xxxxxxx xx vysoké škole,
b) xxxxxxxx, xx provedení xxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxx, x
x) xxxxx xxx xxxxxxx xxxxxxx xxxxxx bezpečnostních xxxx.
(5) Xxxxxxx xxxxx xxx xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxxx k xxxxxxxxxxx xxxxxxxx x příloze č. 6 x této vyhlášce.
§8
Xxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx
x) stanoví pravidla xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxx xxxxxxxx svých xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx své xxxxxxxx xxxxxxxxxx o xxxxxx xxxxxxxx podle xxxxxxx x),
x) xxxxxxxxx xxx xxxxxxxxxx x xxxxxxxx podle písmene x) x xxxxxxxx xxxxxx těchto xxxxxxxx,
x) xxxx xxxxxx xxxxxxx x xxxxxxxxxx,
x) x xxxxxxxxxxx x xxxxxxx xxxxx spojených x xxxxxxxxxx dodavateli zajistí, xxx smlouvy xxxxxxxxx x xxxxxxxxxx dodavateli xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 7 x xxxx xxxxxxxx, x
x) xxxxxxxxxx přezkoumává xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx u xxxxxxxxxx xxxxxxxxxx dále
a) v xxxxx xxxxxxxxxx řízení x xxxx xxxxxxxxx xxxxxxx xxxxxxx hodnocení xxxxx souvisejících x xxxxxxx předmětu xxxxxxxxxx xxxxxx xxxxxxxxx podle přílohy č. 2 x xxxx xxxxxxxx,
x) v xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx způsoby x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x určí xxxxx xxxxxxxx smluvní xxxxxxxxxxxx xx zavedení x kontrolu xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx opatření u xxxxxxxxxxxxx plnění pomocí xxxxxxxxx zdrojů xxxx xxxxxx třetí strany x
x) x reakci xx rizika x xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx informování xxxxx xxxxxxxx 1 xxxx. x) jsou
a) identifikace xxxxxxx xxxx provozovatele,
b) xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) vyrozumění x xxxxxxxxxxx, xx xxxxxxxxx xx pro xxxxxxx xxxxxxxxx xxxxxxxxxxx, x xxxxxxxxx xxxx x xxx, xx xxxxxxxx xxxxxxxxx je xxxxxxx provozovatelem, x
x) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx odstavce 1 xxxx. c), xxxxx xxxxxxxxx údaje formou xxxxxxxx x §34.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxxxx xxxxx x xxxxx řízení bezpečnosti xxxxxxxx xxxxxx
x) x xxxxxxx xx xxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxxx plán rozvoje xxxxxxxxxxxxxx povědomí, xxxxx xxxxx xx xxxxxxxx xxxxxxxxxxxx vzdělávání x xxxxxxxxxx bezpečnostního xxxxxxxx x xxxxx obsahuje xxxxx, xxxxx a xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx zastávajících xxxxxxxxxxxx xxxx a xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx politice x
2. xxxxxxxxxx teoretických x xxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, administrátorů, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx vstupních x xxxxxxxxxxxx xxxxxxx,
x) pro xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxxxx xxxxxxxxxx odborná xxxxxxx, xxxxxxx vychází z xxxxxxxxxx xxxxxx xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx povědomí xxxxxxx pravidelné xxxxxxx x xxxxxxxxx bezpečnostního xxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxx xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) v případě xxxxxxxx xxxxxxxxx vztahu x xxxxxxxxxxxxxx x xxxxxxx zastávajícími bezpečnostní xxxx xxxxxxx předání xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení x dalších xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx povědomí x
x) xxxx pravidla x xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Povinná xxxxx xxxx x xxxxxxx podle xxxxxxxx 1 přehledy, které xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx absolvovaly.
§10
Řízení provozu x xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx a xxxxxxxxxx xxxxxxxxx bezpečný provoz xxxxxxxxxxxx x komunikačního xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx, uživatelů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx xx xxxxxxx a xxx xxxxxxxx chybových xxxxx nebo xxxxxxxxxxx xxxx,
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a opatření xxx xxxxxxx přístupu x xxxxxxxx o xxxxxx událostech,
d) xxxxxxxx x xxxxxxx pro xxxxxxx před xxxxxxxxx xxxxx,
x) řízení technických xxxxxxxxxxxxx,
x) spojení xx xxxxxxxxx xxxxx, xxxxx xxxx pověřeny výkonem xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx, plánování x xxxxxx xxxxxxxx lidských x xxxxxxxxxxx zdrojů,
i) xxxxxxxx x xxxxxxx xxx xxxxxxx informací x xxx x xxxxxxx xxxxxx životního xxxxx,
x) xxxxxxxx a xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx provedených xxxxx x
x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx síťových xxxxxx.
(2) Povinná xxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 a xxxx pravidla a xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx plánovanými změnami.
(3) Xxxxxxx xxxxx zajistí xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x provozního prostředí.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxxxxxx xxxxx xxxxxx změn x
x) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxx
x) xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxx xxxxxxx xxxxx,
x) přijímá xxxxxxxx xx xxxxxx xxxxxxx xxxxx nepříznivých xxxxxx xxxxxxxxx s xxxxxxxxxx změnami,
d) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx xxxxxxxxx a
f) xxxxxxx xxxxxxx navrácení xx původního stavu.
(3) Xxxxxxx osoba xxxxxxx x §3 písm. x), x) x x) xxxxxx xx xxxxxxx xxxxxxxx analýzy xxxxx xxxxx xxxxxxxx 2 xxxx. b) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování xxxx xxxxxxxxx xxxxxxxxxxxxx; xxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 x reaguje xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) zákona xx xxxx požadavky xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx přístupu
(1) Xxxxxxx xxxxx xx základě xxxxxxxxxx a bezpečnostních xxxxxx řídí xxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx systému a xxxxxxx xxxxxxxx, která xxxxxx k zajištění xxxxxxx xxxxx, xxxxx xxxx používány pro xxxxxxxxxx podle §19 x 20, x xxxxx brání xx xxxxxxxx xxxxxx údajů xxxxxxxxxxxx osobou.
(2) Xxxxxxx xxxxx xxxx v xxxxx xxxxxx xxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) řídí xxxxxxx xx xxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxxxx xxxxx a xxxxxxxxx x xxxxxxxxx identifikátor,
c) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx a oprávnění xxxxxxxx a technických xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxx řízení xxxxxxxx xxxxxxxx x xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení a xxxxxx technických zařízení, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx své xxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx oprávnění xx xxxxxx xxxxxxxx nutnou x xxxxxx náplně xxxxx,
x) omezí x xxxxxxxxxx používání programových xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx překonat xxxxxxxxx nebo xxxxxxxxx xxxxxxxx,
x) přiděluje a xxxxxxx xxxxxxxxxx oprávnění x souladu x xxxxxxxxx xxxxxx přístupu,
i) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxxxxx skupin x rolí,
j) xxxxxxx xxxxxxx xxx správu x ověřování identity xxxxx §19 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx podle §20,
x) xxxxxxxxx, aby xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx stanovené xxxxxxx,
x) xxxxxxx odebrání xxxx xxxxx přístupových oprávnění xxx změně xxxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx odebrání xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx x
x) dokumentuje xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, xxxxx a xxxxxx
Xxxxxxx xxxxx v xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx xxxxx §5,
b) xxxx xxxxxxxx xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx požadavky,
d) zahrne xxxxxxxxxxxx xxxxxxxxx do xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx testování významných xxxx xxxx xxxxxx xxxxxxxxx xx xxxxxxx x
x) xxxx xxxxxxxxx xxxxx §19 xxxx. 3, xx-xx cílem xxxxxxxxx akvizice xxxx xxxxxx nástroj pro xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
b) přidělí xxxxxxxxxxxx a xxxxxxx xxxxxxx pro
1. detekci x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx a
2. xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
c) xxxxxxxx x xxxxxxxx postupy xxx xxxxxxxxxxxx, xxxx, xxxxxxx x uchování xxxxxxxxxxx podkladů potřebných xxx analýzu kybernetického xxxxxxxxxxxxxx incidentu,
d) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) při xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí xx dále xxxx §22 x 23,
f) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx zastávající xxxxxxxxxxxx xxxx, další xxxxxxxxxxx x xxxxxxxxxx xxxxx oznamovat xxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxx xxx rozhodnuto, xxx xxxx xxx klasifikovány xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
x) xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx incidentů xxxxx xxxxxxxxxxx postupů,
i) přijímá xxxxxxxx xxx odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
j) xxxxx kybernetické bezpečnostní xxxxxxxxx xxxxx §32,
x) xxxx xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) prošetří x xxxx příčiny xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x
x) xxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx opatření, xxxxxxxxx xxxxxxxxxxx stávající xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
(2) Xxxxxxx xxxxx uvedená v §3 písm. x), x) x f) xxxxxx xxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx používá xxxxxxx xxxxx §24.
§15
Xxxxxx xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx x rámci xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxxxx hodnocení xxxxx a xxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx základě xxxxxxx xxxxxxxxx xxxxx a xxxxxxx xxxxxx xxxxx xxxxxxx x) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně poskytovaných xxxxxx, xxxxx xx xxxxxxxxxx pro užívání, xxxxxx x správu xxxxxxxxxxxx a komunikačního xxxxxxx,
2. xxxx xxxxxxxx xxxxx, během xxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx obnovena xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, x
3. xxxx xxxxxxxx xxx xxxx xxxxxx období, xx xxxxx xxxx xxx xxxxxx obnovena xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxx,
x) stanoví xxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx cílů podle xxxxxxx x),
x) vypracuje, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx opatření pro xxxxxxx odolnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx x omezením xxxxxxxxxxx x xxxxxxx xxx xxx z xxxxxxxxx xxxxx §27.
§16
Xxxxx xxxxxxxxxxxx bezpečnosti
(1) Xxxxxxx xxxxx x xxxxx auditu kybernetické xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx politiky, xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, x výsledky xxxxxx xxxxxxxx v xxxxx xxxxxxx bezpečnostního povědomí x xxxxx zvládání xxxxx x
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx praxí, xxxxxxxx předpisy, xxxxxxxxx xxxxxxxx, xxxxxx předpisy x smluvními xxxxxxx xxxxxxxxxxxx se k xxxxxxxxxxxx a komunikačnímu xxxxxxx x xxxx xxxxxxxx xxxxxxxx opatření xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx xxxxx xxxxxxxx 1 je prováděn
a) xxx xxxxxxxxxx změnách, x xxxxx xxxxxx xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx po 3 xxxxxx x xxxxxxx povinné xxxxx xxxxxxx x §3 xxxx. x) zákona x
x) x xxxxxxxxxxxx xxxxxxxxxxx alespoň xx 2 letech x xxxxxxx povinné xxxxx xxxxxxxxx x písmenu x).
(3) Xxxx-xx x xxxxxxxxxxxx případech xxxxx xxxxxxx audit v xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxx. x) x x) x xxxxx xxxxxxx, je xxxxx audit xxxxxxxx xxxxxxxx po xxxxxxxxxxxxxx xxxxxxx. X takovém xxxxxxx je xxxxx xxxxx v xxxxx xxxxxxx xxxxxxx nejpozději xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx být xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx v §7 xxxx. 4, která xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx opatření.
(5) Xxxxxxx xxxxx, xxxxx xx xxxxxxxx provozovatelem, xxxxxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxxxx daného xxxxxxxxxxxx x komunikačního xxxxxxx.
HLAVA II
TECHNICKÁ XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx zneužití xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx uchovávány x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, a
c) x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx stanoveného xxxxx xxxxxxx x) xxxxxx xxxxxxxx xxxxxxxx a xxxxxxxxx prostředky fyzické xxxxxxxxxxx
1. k zamezení xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx a xxxxxxxxxxxx zásahům x
3. xxx xxxxxxxxx ochrany xx xxxxxx xxxxxxx x x xxxxx xxxxxxx.
§18
Bezpečnost xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x xxxxxxx xxxxx §3 xxxx. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx sítě,
b) xxxxxxx xxxxxx xxxxxxxxxx x xxxxx komunikační xxxx x xxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxx kryptografie xxxxxxx xxxxxxxxx x xxxxxxxxx xxx při xxxxxxxxx přístupu, xxxxxxxx xxxxxx xxxx xxx xxxxxxxx do xxxxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) aktivně blokuje xxxxxxxxx xxxxxxxxxx a
e) xxx zajištění segmentace xxxx x xxx xxxxxx xxxxxxxxxx xxxx xxxxxx segmenty xxxxxxx xxxxxxx, který zajistí xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
§19
Xxxxxx x ověřování xxxxxxx
(1) Povinná xxxxx xxxxxxx xxxxxxx xxx xxxxxx a xxxxxxx xxxxxxxx uživatelů, administrátorů x xxxxxxxx informačního x komunikačního xxxxxxx.
(2) Xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, administrátorů a xxxxxxxx zajišťuje
a) xxxxxxx xxxxxxxx xxxx zahájením xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx počtu možných xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) xxxxxxxx uložených xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxx neoprávněnému xxxxxxxx a zneužití,
d) xxxxxxxx autentizačních xxxxx xx xxxxx odolné xxxxx offline xxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxx xxxxxx přístupu a
g) xxxxxxxxxxxxxxx správu xxxxxxx.
(3) Xxxxxxx osoba xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx a aplikací xxxxxxx autentizační mechanizmus, xxxxx není xxxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxxxx účtu x xxxxx, nýbrž xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx různými xxxx faktorů.
(4) Do xxxx xxxxxxx xxxxxxxxx xxxxx odstavce 3 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, xxxxxxxx autentizaci xxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx xxxxxxxxx podle xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx ověření identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxx používá x xxxxxxxxxxx identifikátor xxxx a xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx alespoň
1. 12 xxxxx x xxxxxxxxx x
2. 17 xxxxx x administrátorů a xxxxxxxx,
x) umožňující zadat xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx x velkých xxxxxx, xxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx hesla, přičemž xxxxxx xxxx xxxxx xxxxxxx hesla xxxxx xxx xxxxxx než 30 minut,
e) xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx nejčastěji xxxxxxxxx hesla,
2. tvořit xxxxx xx základě xxxxxxxxxxxx opakujících se xxxxx, xxxxxxxxxxxxxx jména, x-xxxxx, xxxxx xxxxxxx xxxx xxxxxxxx xxxxxxxx x
3. opětovné xxxxxxx xxxxx používaných xxxxx x pamětí alespoň 12 xxxxxxxxxxx xxxxx x
x) xxx xxxxxxxx xxxxx xxxxx x xxxxxxxxx xxxxxxxxx xx 18 měsících, xxxxxxx xxxx xxxxxxxx xx xxxxxxxxxx xx xxxx xxxxxxxx x obnově xxxxxxx x případě xxxxxxx.
(6) Povinná xxxxx x případě používání xxxxxxxxxxx pouze xxxxx x xxxxxx dále
a) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx hesla xx xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx heslo xxxxxxxx k xxxxxxxx xxxxxxxx po xxxx xxxxxx xxxxxxx xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx jeho xxxxxxxxx a
c) xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Řízení přístupových oprávnění
Povinná xxxxx xxxxxxx centralizovaný xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx řízení oprávnění
a) xxx xxxxxxx k xxxxxxxxxxx aktivům xxxxxxxxxxxx x xxxxxxxxxxxxx systému x
x) pro čtení xxx, zápis xxx x změnu xxxxxxxxx.
§21
Ochrana před škodlivým xxxxx
(1) Xxxxxxx osoba xxxxxxx v §3 xxxx. x), x) x f) zákona x xxxxx xxxxxxx xxxx xxxxxxxxx kódem
a) x ohledem na xxxxxxxxxx aktiv zajišťuje xxxxxxx nástroje pro xxxxxxxxxxxx automatickou ochranu
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. datových xxxxxxx x xxxxxxxxx xxxxxxxx nosičů,
5. xxxxxxxxxxx xxxx x prvků xxxxxxxxxxx sítě x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x řídí xxxxxxxxx xxxxxxxxx zařízení x xxxxxxxx xxxxxx,
x) řídí xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx ke spouštění xxxx x
x) xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx nástroje xxx xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) zákona xxxxxxxxx xxxxx xxxxxxxx 1 přiměřeně.
§22
Xxxxxxxxxxxxx xxxxxxxx informačního x xxxxxxxxxxxxx systému, xxxx xxxxxxxxx a xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxxx události xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xx základě xxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxx rozsah xxxxx, x xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx osoba xxx xxxxxxxxxxxxx bezpečnostních a xxxxxxxxxx událostí xxxxx xxxxxxxx 1 zajišťuje
a) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx xxxx xxxxxx xxxxxxx, xxxxx xxxx xxxx xxxxxxx xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx; zejména xxxxxxxxxxx
1. xxxxx a xxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,
2. typ xxxxxxxx,
3. identifikaci technického xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. jednoznačnou identifikaci xxxx, pod xxxxxx xxxx činnost xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx xxxxxxx x
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx písmen x) x x) xxxx xxxxxxxxxxxx xxxxxx x jakoukoli xxxxxx,
x) xxxxxxxxxxxxx
1. přihlašování x xxxxxxxxxxx xx xxxx xxxxx, x xx xxxxxx xxxxxxxxxxx xxxxxx,
2. xxxxxxxx xxxxxxxxxxx administrátory,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx x účty, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx xxx xxxx xx bezpečnost informačního x xxxxxxxxxxxxx systému,
6. xxxxxxxx x xxxxxxxx xxxxxxxx technických aktiv,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxx aktiv x
8. přístupů x xxxxxxxx o xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
e) xxxxxxxxxxxxx jednotného času xxxxxxxxxxx aktiv xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x f) xxxxxx xxxxxxxx záznamy událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 nejméně xx xxxx 18 měsíců.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 12 xxxxxx.
§23
Xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx komunikační xxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx systém, xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx zajistí
a) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx v xxxxx xxxxxxxxxxx xxxx x xxxx komunikačními xxxxxx,
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx xx xxxxxxxxx xxxxxxxxxxx sítě x
x) xxxxxxxxx nežádoucí xxxxxxxxxx.
(2) Povinná xxxxx xxxxxxx v §3 xxxx. c), x) x x) xxxxxx xxxxxxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxx x ohledem xx xxxxxxxxxx aktiv x xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx zařízení,
c) xxxxxxx,
x) xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxx x
x) xxxxxxxxx xxxxx.
§24
Xxxx a xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
Xxxxxxx xxxxx xxxxxxx v §3 xxxx. c), x) x f) xxxxxx používá nástroj xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) xxxx x xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 a 23,
x) xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx záznamů,
c) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx role x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx varování xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pravidelnou xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
2. xxxxxx varování x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxxx nastavení xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§25
Aplikační xxxxxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xx xxxxxxxx xxxxxx, a xx
x) xxxx jejich xxxxxxxx xx provozu a
b) x souvislosti x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx dále x xxxxx xxxxxxxxx xxxxxxxxxxx zajistí xxxxxxx xxxxxxx xxxxxxxx, informací x transakcí xxxx
x) xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx provedených xxxxxxxx.
§26
Kryptografické xxxxxxxxxx
Xxxxxxx xxxxx xxx ochranu aktiv xxxxxxxxxxxx x komunikačního xxxxxxx
x) xxxxxxx aktuálně xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x kryptografické klíče,
b) xxxxxxx xxxxxx xxxxxx xxxxx a xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxx, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxx a
2. umožní xxxxxxxx x xxxxx,
x) xxxxxxxxx bezpečné nakládání x kryptografickými xxxxxxxxxx x
x) zohledňuje doporučení x oblasti kryptografických xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx xx jeho xxxxxxxxxxxxx stránkách.
§27
Xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx zavede xxxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) xxxxxxxxxx informačního x komunikačního systému xxx xxxxxxx xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx a
d) xxxxxxxxxx xxxxx xxxxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
§28
Xxxxxxxxxx, xxxxxx a xxxxxxx specifické xxxxxxx
Xxxxxxx xxxxx xxx zajištění xxxxxxxxxxxx xxxxxxxxxxx průmyslových, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx systémů xxxxxxx xxxxxxxx x xxxxxxxx, xxxxx zajistí
a) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx fyzického xxxxxxxx k zařízením xxxxxx xxxxxxx x xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx pro tyto xxxxxxx od xxxxxxx xxxxxxxxxxxxxx,
x) omezení x xxxxxx xxxxxxxxxx xxxxxxxx x těmto systémům,
e) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx a
f) xxxxxxxx xxxxx těchto systémů xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
§29
Digitální xxxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx prováděcího xxxxxxxx Komise (XX) 2018/151 ze xxx 30. xxxxx 2018, xxxxxx xx xxxxxxx xxxxxxxx xxx uplatňování xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (EU) 2016/1148, pokud xxx x xxxxxx upřesnění xxxxx, xxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx při xxxxxx xxxxxxxxxxxxxx xxxxx, jimiž xxxx xxxxxxxxx xxxx x xxxxxxxxxx xxxxxxx, x xxxxxxxxx pro xxxxxxxxxx xxxx, zda xx xxxxx xxxxxxxxx xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx xxxxxxxx xxxxx nepoužijí.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. h) xxxxxx xxxxx kontaktní xxxxx xxxxx §34 xxxx. 2.
(3) Povinná xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty podle §32 xxxx. 2 x 3.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXX X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxxxxxx politiku x vede xxxxxxxxxxxx xxxxxxxxxxx zahrnující xxxxxxx xxxxxxx x příloze č. 5,
b) xxxxxxxxxx přezkoumává bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxx, xxx byla xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Bezpečnostní xxxxxxxx x bezpečnostní xxxxxxxxxxx xxxx být
a) xxxxxxxx x listinné xxxx xxxxxxxxxxxx podobě,
b) xxxxxxxxxxxx v rámci xxxxxxx xxxxx,
x) přiměřeně xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) xxxxxxxx x xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xxx, aby xxxxxxxxx v xxxx xxxxxxxx byly úplné, xxxxxxx, snadno xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.
ČÁST TŘETÍ
KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx významnosti xxx xxxxxxxxxx
x) dopadů xxxxxxxxxx v xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxx xxxxxxx xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxx předpokládané xxxxx,
x) xxxxxxxxxxx dotčených aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx služby informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx jinými informačními x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Pro xxxxxxx xxxxxxx x zvládání xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xx základě xxxxxxxxxx podle odstavce 1 xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx kategorií
a) Xxxxxxxxx XXX - velmi xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx musí být xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx II - xxxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb nebo xxxxx. Jeho řešení xxxxxxxx neprodlené zásahy xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx škod, xxxx
x) Xxxxxxxxx I - xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx bezpečnosti poskytovaných xxxxxx nebo xxxxx. Xxxx řešení vyžaduje xxxxxx obsluhy x xxx, že xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Typy xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx jsou
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx aktiv, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx kombinaci dopadů xxxxxxxxx v písmenech x) xx x).
(4) Xxxx xxxxxxxxxx se xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Kybernetický bezpečnostní xxxxxxxx xx Xxxxx xxxxx na elektronickém xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx příjem xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx stránkách Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, nebo
c) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, pokud xx používáno, jehož xxxxx je zveřejněn xx internetových xxxxxxxxx Xxxxx.
(2) Kybernetický xxxxxxxxxxxx xxxxxxxx se provozovateli xxxxxxxxx XXXX xxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx XXXX xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx příjem xxxxxxx kybernetických bezpečnostních xxxxxxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxx i x xxxxxxxx xxxxxx, xxxxx xxxxx x xxxxxxxxx, kdy xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 a 2.
(4) Náležitosti xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) datum x xxx xxxxxxxx xxxxxxxxx x
x) xxxxx xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx opatření,
a) xxxxxxx xxxxxxxxx dopady xxxxxxxxxxx opatření xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx x na xxxxxxxx bezpečnostní opatření x xxxxxxxxx možné xxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxx rychlého xxxxxxxxx tohoto xxxxxxxx, xxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx xxxx jeho provedení.
(2) Xxxxxxx xxxxx, xxxxx Xxxx uložil xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxxx reaktivního xxxxxxxx x xxxx xxxxxxxx xx xxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu.
§34
Kontaktní údaje
(1) Xxxxxxxxx xxxxx xx Úřadu xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) na adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx pro xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) do xxxxxx schránky Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx popis xx zveřejněn na xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx xxxxx xx xxxxxxxxxxxxx národního XXXX xxxxxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx CERT zaslaném
a) xx xxxxxx elektronické xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx xxxxxx oznámení kontaktních xxxxx, zveřejněnou xx xxxx internetových xxxxxxxxx,
x) xx datové xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Hlášení xxxxxxxxxxx xxxxx xx možné xxxxxx x v xxxxxxxx xxxxxx, avšak xxxxx x xxxxxxxxx, xxx nelze xxxxxx xxxxx ze xxxxxxx xxxxxxxxx v odstavcích 1 a 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxx x příloze č. 8 x xxxx vyhlášce.
(5) Povinná xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx, xxxxx je xxxxxxxxxxxxxx, xxxx k xxxxxxx xxxxxxxxxxx xxxxx podle xxxxxxxx 1 xxxxxxxx xxxxxxxx, kterým xx xxxxxxx xxxxxxxxxxxx informuje xxxxx §8 odst. 1 xxxx. x).
XXXX XXXX
XXXXXXXXX USTANOVENÍ
§35
Přechodná xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, které xxxx určeny xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x případě xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx kritérií xxxxx dnem xxxxxx xxxxxxxxx této xxxxxxxx, xx do xxxxxxx xxxx ode dne xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx x rozsah zavedených xxxxxxxxxxxxxx xxxxxxxx použijí xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x bezpečnostních opatřeních, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x stanovení náležitostí xxxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti (vyhláška x xxxxxxxxxxxx bezpečnosti).
(2) X případě xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx byly xxxxxx přede xxxx xxxxxx účinnosti xxxx xxxxxxxx, x x xxxxxxx významných xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx přede xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, xx xx jednoho roku xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx tato xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., o xxxxxxxxxxxxxx opatřeních, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Xxxxxxx x. 1 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxx xxxxxxxxx důležitosti xxxxx xxxx v xxxxx xxxxxxx xxxxxxx xxxxxxxx o xxxxxxx xxxxxxxx x xxxxxxxx xx, jaký xxxxx xx mělo narušení xxxxxxxxxxx xxxxxxxxx u xxxxxxxxxxxx aktiv. Xxxxxxx xxxxx xxxx používat xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, než jaký xx xxxxxx v xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx mezi xxxx xxxxxxxxxx způsobem xxxxxxxxx důležitosti xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, které xxxx xxxxxxx x xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, xxx xx xxxxx xxxxxxx xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Stupnice pro xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx přístupná xxxx byla xxxxxx xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx. X případě xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx podle xxx. traffic xxxxx xxxxxxxxx (xxxx jen "XXX") xx xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx xxxxx, xxxxxxx xxxxx xxxx vyžadována xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx ujednáním. V xxxxxxx sdílení xxxxxxxx xxxxxx s třetími xxxxxxxx x xxxxxxx xxxxxxxxxxx podle XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX nebo XXX:XXXXX. |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx a xxxxxx xxxxxxx je xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (například xxxxxxxx xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a použití xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx zejména xxxxxxxx TLP:AMBER. |
Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Přenosy informací xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx přístupná x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx xxxxxxxxx kategorie (xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx kategorie osobních xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx x xxxxxxx klasifikace xxxxx XXX xx xxxxxxxxx xxxxxxx označení TLP:RED xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx jsou využívány xxxxxxxxxx, které zajistí xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx strany xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx chráněny xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxx. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Aktivum xxxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxxx xxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x může se xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx x podstatnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxxx xxxxxxxx historii xxxxxxxxxxx xxxx x zaznamenat xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx zajištěna xxxxxx kryptografických prostředků. |
|
Kritická |
Aktivum xxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx vede k xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx s přímými x velmi xxxxxxx xxxxxx xx primární xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx technologie xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx není xxxxxxxx x x xxxxxxx xxxxxxx xx běžně xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx nápravu (xxx xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx neprodleně, xxxxxxx vede x xxxxxxx xxxxxxxx oprávněných xxxxx xxxxxxx osoby. Xxxxxx xxxx xxxxxxxxxx xx xxxxx důležitá. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy x xxxxxx poskytování xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx několika xxxxx) vede k xxxxxxx xxxxxxxx oprávněných xxxxx povinné xxxxx. Xxxxxx xxxx xxxxxxxxxx xx kritická. |
Pro ochranu xxxxxxxxxxx jsou využívány xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x vyhlášce č. 82/2018 Xx.
Xxxxxxxxx rizik
(1) Xxxxxxxxxxx stanovení funkce xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx pro hodnocení xxxxx podle §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx jako xxxxxx, kterou xxxxxxxxx xxxxx, hrozba x xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxxxx xxxx xxxxxx:
Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx x xxxxx xxxxxxx xxxxxxx x xxxxxxxxx aktiv xxxxx přílohy č. 1.
(5) X xxxxxxx, že xxxxxxx xxxxx xxxxxxx metodu xxx xxxxxxxxx rizik, xxxxx nerozlišuje xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx stupnice xxx hodnocení xxxxxx x xxxxxxxxxxxxx sloučit. Xxxxxxxx stupnic xx xxxxxx vést ke xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, který xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, tak x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xx xxxxxxxxx x v xxxxxxxxx, xxx xxxxxxx xxxxx xxxxxxx xxxx počet xxxxxx xxx xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx zranitelnosti málo xxxxxxxxxxxxx. Jsou xxxxxxxx xxxxxxxxxxxx opatření, která xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxx zneužití. |
|
Střední |
Zneužití xxxxxxxxxxxxx xx málo xxxxxxxxxxxxx až pravděpodobné. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, xxxxxxx účinnost xx pravidelně xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx bezpečnostních opatření. |
|
Vysoká |
Zneužití xxxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx jejich xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx známé dílčí xxxxxxx xxxxxx o xxxxxxxxx bezpečnostních opatření. |
|
Kritická |
Zneužití xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx až víceméně xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx realizována xxxx xx jejich xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx xxx hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx je považováno xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo xxxx xxxxxxxxx xxxxxxxxxx nebo x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx je xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx je xxxxxxxxxx xxxxxxxxxxx a xxxx být zahájeny xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx a musí xxx xxxxxxxxxx xxxxxxxx xxxxx x jeho xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxxxxxx x xxxxxx
Xxxxxxxxxx: Tato xxxxxxx xxxxxxxx jen xxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx konkrétních xxxxxxxxxxxxx x xxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná údržba xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. zastaralost xxxxxxxxxxxx x komunikačního systému,
3. xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
4. nedostatečné bezpečnostní xxxxxxxx uživatelů a xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,
6. nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx bezpečnostních incidentů,
8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx nevhodné xxxx xxxxxxx xxxxxxx chování,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, nepřesné nebo xxxxxxxxxxxxx vymezení xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a bezpečnostních xxxx,
10. nedostatečná ochrana xxxxx,
11. xxxxxxxx bezpečnostní xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx pochybení xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x licenčními podmínkami,
5. xxxxxxxx kód (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek elektrické xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, xxxxxxxx nebo xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxxx,
11. pochybení xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx vnitřních xxxxxxxxxx, xxxxxxx,
13. dlouhodobé přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxxxx xxxxxx,
14. nedostatek xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
15. xxxxxx xxxxxxxxxxxx útok xxxxxx xxxxxxxxxx inženýrství, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx,
17. napadení xxxxxxxxxxxx xxxxxxxxxx (xxxxxxxxx, xxxxxxxxxx).
Xxxxxxx x. 4 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx xxxxxxx udává xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x definování způsobů xxxxxx xxx x xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, informací a xxxxxx xxxxx.
(2) Jednotliví xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému xx xxxxxxx pravidla xxx xxxxxx xxx x xxxxxxxxx technických xxxxxx xxx v souladu x xxxxx xxxxxxxx. Xxx nejsou dotčeny xxxxxxxxxx xxxxx xxxxxx xxxxxxxx předpisů. Je xxxxx zvolit adekvátní xxxxxx xxxxxx nabízející xxxxxxxxx xxxxxxxxxxxx opatření, xxxxxx xxxxxxxxxxx pravidel xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx xxxxxx dat, xxxxxxxx x xxxxxxx a xxxxxxxxxxx aktiv.
(3) Xxxxxxxx xxx xxxxxxxxx dat xx xxxx xxx xxxxxxxxx xxxxxxxxx hodnotě x xxxxxxxxxxx aktiv x xxxx xx xxxxxxx xxxxxxxxxxx
x) hodnotu xxxxxx (xxxxxxx z xxxxxxx důvěrnosti),
b) technologii (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) xxx xx nosič informace xxxxxxx xxx xxxxxxxxx xxxxxxxxxx či xxxxxxx,
x) xxx xxxx data xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) kdo xxxx xxxxxxxxx xxx xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx dodavatel),
f) xxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxx xx k xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx s ohledem xx nástroje, školení, xxxxxxxx, xxxxxxxx xxxxxxx xxxxxx informace
k) možné xxxxxxx xxxxxxxxx xxx (xxxxxxxxx xxxxxxxx nosiče, xxxxxxxxxxxxxxxx xxxxxxxxx nosiče xxx, xxxxxxxxxxxxx dat xxxxxx xxxxxxxxxx x xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xx xxxxx nosiče xxxxxxxxx (například xxx xxxxxxxxx xxxxxxxx nebude xxxxx xxxxxx xxxxxxxx xxxxxxx informace, xxx xxxxxxx ze xxxxxxx xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx nosičů xxxxxxxxx, xxxxxxxxxx údajů, xxxxxxxxx x jejich xxxxx:
x) Odstranění
1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxxxx xxx xxx, xxx byla xxx xxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx).
2. Xxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxx. X případě xxxxxxx xxxxxx xxxxxxxxx xx xxxxx s vynaložením xxxxxxxx xxxxx xxxxxxxxx xxxxxxx.
3. Xxxx metoda xxxx xxxxxxxxxx xxx xxxxxx digitálních xxx xxxxxxxxxxxx opětovný zápis.
4. Xxxxxxxxxx xxxxxx pro xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxx informace xxxxxxxxxx xxxxxxxxx.
2. Jde x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxx. Xxxxx xxxxxxxx nástroje xxxxxxxxxx obnovení xxxxxxxxxx xxxxxxxxx.
3. Přepsání xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx informaci.
4. Xxxx xxxxxx xxxx vhodná xxx xxxxxxxxx média, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxx xxx xxxxx s xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxx xx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx informace, xxxxxxxxx x rozebrání xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx informace (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx působením).
2. Jde x nejbezpečnější metodu xxxxxxxxx xxx. Xxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx nelze znovu xxxxxx xxx xxxxxxx xxxx. Xxxxxxx informace xxxx xxxxx xxxxxxx xxx xxx vynaložení xxxxxxx množství prostředků x úsilí.
3. Použitelný xxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx způsob likvidace xxxxx xxxxxx důležitosti xxxxxx |
|||||
|
Xxxxx informace |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Kritická |
|
|
Informace xx xxxxxx xxxxxxxx xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx a xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx odpadu. |
Přepsání: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Fyzická xxxxxxxxx: |
|||||
|
Mobilní xxxxxxxx (mobilní telefony, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx likvidace: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx média (xxxxxxxxxx xxxxx, xxxxx, XXX [Xxxx Disk Xxxxx]) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Xxxxxxx xxxxx (XX, XXX, HD-DVD, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Fyzická xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx média (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx a cloud |
Přípustný xxxxxx xxxxxxxxx dat xx xxx být xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Přepsání: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Alternativně v xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx je xxxxx xxxx xx xxxxxxxx xxxxxx xxxxxxx. |
|||||
Příloha x. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx
1. Bezpečnostní xxxxxxxx
1.1. Xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Cíle, xxxxxxxx a potřeby xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro řízení xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx nápravná opatření x xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx primárních xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, integrity x dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x evidence xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx mezi xxxxxxxxxx x podpůrnými xxxxxx.
x) Pravidla ochrany xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx a xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx aktiv.
d) Xxxxxxx xxxxxxxxxxxx mazání xxxx xxxxxx technických xxxxxx xxx, informací, xxxxxxxxxx údajů a xxxxxx xxxxx.
1.3. Xxxxxxxx xxxxxxxxxxx bezpečnosti
a) Xxxxxx xxxxxxxxxxxxxx xxxx a xxxxxx xxxx x xxxxxxxxxx.
x) Xxxxxxxxx na xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
c) Xxxxxxxxx xx oddělení xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxx.
1.4. Politika xxxxxx xxxxxxxxxx
x) Xxxxxxxx x xxxxxxxx xxx xxxxx dodavatelů.
b) Pravidla xxx hodnocení xxxxx xxxxxxxxxxxxx x dodavateli.
c) Xxxxxxxxxxx xxxxxxx x xxxxxx služeb x xxxxxxx x úrovní xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x způsoby xxxx xxxxxxxxx
1. způsoby x xxxxx xxxxxxx xxxxxxxxx,
2. způsoby a xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x xxxxx poučení xxxxxxxxxxxxxx,
4. xxxxxxx a formy xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx xxxx změnu xxxxxxxx pozice
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxx xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx a xxxxxxxxxx
x) Xxxxxxxxx a xxxxxxxxxxxx xxxxxxx x bezpečným xxxxxxxx.
x) Xxxxxxx bezpečného xxxxxxx.
x) Požadavky x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x omezení xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (xxxx xx know).
b) Xxxxxxxxx xx řízení xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx oprávnění.
e) Řízení xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů x přístupových skupinách.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx hesla.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x přístupu xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx xxxxxx x mobilním xxxxxxxxx.
1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx zálohování x xxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxxx k xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x výměny informací
a) Xxxxxxxx a postupy xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx ochrany xxxxxxxxxxxx výměny informací.
c) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx zajištění xxxxxxxxxxx zařízení, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx.
1.13. Xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx
x) Bezpečnostní xxxxxxxxx xxx xxxxxxxx, xxxxx x údržbu.
b) Xxxxxx xxxxxxxxxxxxx.
x) Politika xxxxxxxxxxx a nabývání xxxxxxx programového xxxxxxxx x xxxxxxxxx
1. pravidla x xxxxxxx nasazení xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx licenčních xxxxxxxx.
1.14. Politika xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx osobních xxxxx.
x) Popis xxxxxxxxx x provedených xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
1.15. Xxxxxxxx xxxxxxx bezpečnosti
a) Xxxxxxxx xxx xxxxxxx objektů.
b) Xxxxxxxx pro kontrolu xxxxxx osob.
c) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx bezpečnosti xxxxxxxxxxx xxxx
x) Pravidla x postupy xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx za xxxxxxxx xxxxxx sítě.
c) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx sítě a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx ochrany xxxx xxxxxxxxx xxxxx
x) Xxxxxxxx x xxxxxxx pro xxxxxxx síťové komunikace.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxx serverů x sdílených xxxxxxxx xxxxxxx.
x) Pravidla a xxxxxxx xxx ochranu xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx x xxxxxx nástroje pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx a postupy xxx xxxxxxxx a xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxx aktualizace xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx nástroje xxx xxxx x xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx ochrany
a) Xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla kryptografické xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx komunikačních xxxxxx,
2. xxx uložení xx xxxxxxx zařízení xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx.
x) Xxxxxx xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x xxxxxxxx řízení xxxxxxxxxx xxxx v xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxxxx, informačních x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx dopadů významných xxxx.
x) Xxxxxx vedení xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
x) Definování xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx identifikaci, xxxxxxxx x zvládání xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů x xxx zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
x) Evidence xxxxxxxxx.
1.23. Politika xxxxxx xxxxxxxxxx xxxxxxxx
x) Xxxxx x povinnosti xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx chodu,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx a posuzování xxxxxxxxxxxxx xxxxx.
x) Určení x xxxxx potřebných xxxxx xxxxxxxxxx x xxxxxxxxxxx plánů.
f) Xxxxxxx xxx realizaci opatření xxxxxxxx Xxxxxx.
2. Obsah xxxxxxxxxxxx xxxxxxxxxxx
2.1. Zpráva x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Cíle xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx auditu kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x osob, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx prováděny xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Zpráva x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx přezkoumání systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Zpětná xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. neshody x xxxxxxxx opatření,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x stav plánu xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx hodnocení xxxxx
x) Určení stupnice xxx hodnocení primárních xxxxx
1. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxxx pro hodnocení xxxxxx integrity xxxxx,
3. xxxxxx stupnice pro xxxxxxxxx úrovní xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx hodnocení rizik
1. xxxxxx stupnice xxx xxxxxxxxx úrovní dopadu,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx hrozby,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxx.
x) Xxxxxx x xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx o xxxxxxxxx xxxxx x xxxxx
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx primárních xxxxx,
3. hodnocení xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, integrity a xxxxxxxxxxx.
x) Přehled xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx podpůrných aktiv,
2. xxxxxx xxxxxxx podpůrných xxxxx,
3. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx xxxxxx.
x) Xxxxxxxxx xxxxx
1. posouzení možných xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx úrovně rizika, xxxxxxxxx xxxx úrovně x xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
5. určení x schválení xxxxxxxxxxxxxxxx xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx realizace.
2.5. Xxxxxxxxxx o xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx včetně zdůvodnění, xxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx způsobu xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx xxxxx
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx včetně xxxxx xx xxxxxxxxx xxxxxx.
x) Potřebné xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik.
e) Způsob xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx nových xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Formy x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx xxxx
x) Evidence xxxxxxxxx xxxxx významných xxxx.
x) Xxxxxxx x xxxxxxx xxxxxxxxxxx podpůrných xxxxx.
2.9. Xxxxxxx kontaktní xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Přehled obecně xxxxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů a xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx a jiných xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxx.
Příloha x. 6 x xxxxxxxx x. 82/2018 Sb.
Výbor pro xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxx xxxx
Xxxx xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pro řízení xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx xxxxxxx x §6 a 7.
Xxx. 1: Výbor xxx řízení kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx x rozvoj xxxxxxxxxxxx bezpečnosti v xxxxx xxxxxxx osoby. |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti xxxx být xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací. |
|
Xxxxxxxx: |
x) Xxxxx xxxx XXX/XXX 27000 a xxxxxxx xxxxx z xxxxxxx xxxxxxxxxxx x XXX. |
|
Xxxxxxxxxx: |
x) Prosazování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Information Security Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx and Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Professional (XXXXX), Xxxxxxx BI (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x x xxxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxx. |
Xxx. 3: Xxxxxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x její xxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx implementace bezpečnostních xxxxxxxx. |
|
Xxxxxxxx a praxe: |
a) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), CompTIA Xxxxxxxx +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Systems Xxxxxxxx Xxxxxxxxxxxx (CISSP), Xxxxxxx XX (akreditační xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx bezpečnosti
|
Role: |
Auditor kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx auditu xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Xxxxxxxxxxx x rámce xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Zkušenosti: |
a) Plánování xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 roky xxxxx x xxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx certifikace*: |
Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Certified Xxxxxxxx Xxxxxxx (CIA), Xxxxxxxxx xx Risk xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Xxxx Xxxxxxx XXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx není xxxxxxxxxx s xxxxxx |
Xxx. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost za xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, xxxxx je xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x jiná xxx xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx odbornou způsobilost xxxxxxxxxxxxxx rolí xxxxxxx xxxxxxxxx ISO 17 024.
Xxxxxxx č. 7 x vyhlášce x. 82/2018 Xx.
Xxxxxx xxxxxxxxxx - bezpečnostní xxxxxxxx xxx smluvní xxxxxx
Xxxxx xxxxxxx uzavírané x xxxxxxxxxx dodavateli:
a) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx o xxxxxxxxx xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxxxx programového xxxx, popřípadě x xxxxxxxxxxxx licencích,
d) xxxxxxxxxx x kontrole x xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx auditu),
e) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx musí xxx xxxxxxxxx, xx xxxxxxxxxxxxx xx zaváží xxxxxxxxx x plném rozsahu xxxxxxxx xxxx povinnou xxxxxx x dodavatelem x xxxxxxx x xxxxxxx x požadavky xxxxxxx osoby na xxxxxxxxxx,
x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxxx dodržovat xxxxxxxxxxxx xxxxxxxx povinné xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx povinnou xxxxxx,
x) xxxxxxxxxx x xxxxxx xxxx,
x) ustanovení x xxxxxxx smluv x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx osobu x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx souvisejících s xxxxxxx xxxxxxx,
2. způsobu xxxxxx xxxxx xx xxxxxx xxxxxxxxxx x x zbytkových rizicích xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
3. významné změně xxxxxxxx tohoto dodavatele xxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxx nebo xxxxx xxxxxxxxxxx zásadních xxxxx, xxxxxxxxx změně xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx dodavatelem x xxxxxx xxxxx xxxxxxx xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x pohledu xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (například xxxxxxxxx xxxxxx xxx ukončení xxxxxxxxxx, xxx je xxxxx xxxxx xxxxxxxx xxxxxx před xxxxxxxxx xxxxxx xxxxxx, xxxxxxx xxx x xxxxxxx),
x) xxxxxxxxxxx podmínek pro xxxxxx xxxxxxxxxx činností x xxxxxxxxxxx x xxxxxxxxxx (například xxxxxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxx, úkoly dodavatelů xxx aktivaci xxxxxx xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx x xxxxxxxxx xx vyžádání xxxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxx,
x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx odstoupit xx smlouvy x xxxxxxx xxxxxxxx xxxxx xxxxxxxx nad xxxxxxxxxxx xxxx změny xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx dodavatelem x xxxxxx podle smlouvy x
x) ustanovení x xxxxxxxx xx porušení xxxxxxxxxx.
Xxxxxxx x. 8 x xxxxxxxx č. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Xxxxxxxxx
Xxxxxx předpis x. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Ke xxx xxxxxxxx xxxxxx xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 82/2018 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 264/2025 Sb. x xxxxxxxxx xx 1.11.2025.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x odkazech není xxxxxxxxxxxxx, xxxxx xx xxxx netýká derogační xxxxx shora xxxxxxxxx xxxxxxxx předpisu.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 o opatřeních x xxxxxxxxx xxxxxx xxxxxxxx xxxxxx bezpečnosti xxxx x informačních xxxxxxx x Xxxx.